瑞星杀毒软件2010测试报告（6月27日）【暴力测试】
测试环境：
测试环境：
操作系统：WindowsXP pro SP3（虚拟机）

内存：224MB

瑞星程序版本：22.00.00.11

病毒库版本：22.01.05.09

测试内容：
一BUG反馈
1本人经过控制单一变量的实验，现已证实防火墙存在一个BUG，导致打开冰刃就蓝屏。

重启后，系统弹出提示：


冰刃版本：


卸载防火墙后，冰刃被成功打开。

这个BUG如果不解决，很有可能是一个炒作的机会。
注：dmp文件在附件中。

2主界面BUG



以上两张图是我分别关闭监控和开启监控后所截。问题在于，开启监控后， “未扫描或修复系统”这项不再出现 。令人很费解。


3字体未排正的问题依旧未解决。


二暴力测试
设置：开启所有瑞星的保护，且均处于默认设置状态。
1文件名：090626-A-7.exe
运行病毒后，系统加固成功拦截该病毒对注册表的修改。


该病毒在系统目录释放4.tmp，被木马行为防御所拦截。


然后，我们打开注册表查看启动是否被病毒添加。




看来，瑞星拦截的很彻底，没有给病毒留下机会。

2文件名：090626-A-64.exe
运行样本后，病毒释放驱动文件，被木马行为防御拦截。病毒进程退出。



3文件名：090626-A-173.exe
运行样本后，依旧被木马行为防御拦截。技术粗糙的病毒遇到瑞星杀毒软件2010就比较心寒了。


4文件名：090626-A-183.exe
运行样本后，瑞星监控，系统加固，木马行为防御全部没有反应。
该病毒进程成功启动。


该病毒试图控制重要进程C:\WINDOWS\system32\winlogon.exe
瑞星未拦截。
然后，通过services.exe在C:\WINDOWS\system32\drivers目录下释放驱动RsNTGdi.sys
这样还没完，病毒修改注册表HKLM\SYSTEM\CurrentControlSet\Control\Session Manager
目的是开机启动C:\WINDOWS\system32\sfcfiles.dat
该病毒还在C:\Documents and Settings\LC\Local Settings\Temp目录下释放了一个5.sys驱动。
以上恶意行为，瑞星均未拦截。

5文件名：090626-A-199.exe
运行样本后，该病毒尝试连接网络，不幸的是被瑞星防火墙拦截。

被拦截后，病毒进程退出。

6文件名：090626-A-203.exe
运行样本后，病毒修改登录附加模块，被系统加固拦截。


病毒通过LSASS.EXE企图再次修改登录附加模块，被系统加固拦截。

病毒被清除。

7文件名：090626-A-241.exe
运行样本后，该病毒有以下行为：
修改注册表：HKLM\SYSTEM\CurrentControlSet\Control\Session Manager
赋予新值：
\??\C:\WINDOWS\system32\helper.dllbak
           
\??\C:\Program Files\Signal-COM\Inter-PRO Client v5\WinSCard.dllbak
           
\??\C:\Program Files\Internet Explorer\clbcatq.dllbak
           
\??\C:\WINDOWS\system32\helper.dllbak

瑞星没有反应。

8文件名：090626-A-290.exe
运行样本后，该病毒有以下行为：
修改注册表：HKLM\SYSTEM\CurrentControlSet\Control\Session Manager
赋予新值：
\??\C:\WINDOWS\system32\helper.dllbak
           
\??\C:\Program Files\Signal-COM\Inter-PRO Client v5\WinSCard.dllbak
           
\??\C:\Program Files\Internet Explorer\clbcatq.dllbak
           
\??\C:\WINDOWS\system32\helper.dllbak
           
\??\C:\Program Files\Signal-COM\Inter-PRO Client v5\WinSCard.dllbak
           
\??\C:\DOCUME~1\LC\LOCALS~1\Temp\ueqraprrdm.tmp
           
\??\C:\DOCUME~1\LC\LOCALS~1\Temp\ouoiqhpfyf.tmp

8文件名：090626-A-318.exe
运行样本后，弹出批处理窗口，估计是一个伪数字签名病毒。防火墙将病毒误认为可信任程序放行。


病毒进程成功运行，瑞星的系统加固，木马行为防御未进行拦截。


9文件名：090626-A-326.exe
样本运行后，病毒成功运行进程msmsgs.exe，防火墙弹出提示。系统加固及木马行为防御未有反应。




用户系统信息：Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; InfoPath.2)

10文件名：090626-A-349.exe
运行样本后，病毒注入winlogon.exe。瑞星未拦截。


11文件名：可疑090626-1-27.exe
运行样本后，病毒修改注册表：HKLM\SYSTEM\CurrentControlSet\Control\Session Manager
赋予新值：
\??\C:\WINDOWS\system32\helper.dllbak
           
\??\C:\Program Files\Signal-COM\Inter-PRO Client v5\WinSCard.dllbak
           
\??\C:\Program Files\Internet Explorer\clbcatq.dllbak
           
\??\C:\WINDOWS\system32\helper.dllbak
           
\??\C:\Program Files\Signal-COM\Inter-PRO Client v5\WinSCard.dllbak

\??\C:\DOCUME~1\LC\LOCALS~1\Temp\ueqraprrdm.tmp
           
\??\C:\DOCUME~1\LC\LOCALS~1\Temp\ouoiqhpfyf.tmp
           
\??\C:\Documents and Settings\LC\桌面\virus\090626-A-326.exe

\??\C:\WINDOWS\system32\mshtml.dll.bak

并通过C:\WINDOWS\system32\svchost.exe控制C:\Program Files\Rising\Rav\RavMonD.exe。

在任务管理器中无法结束病毒进程，应该由双进程守护之类。双击瑞星小绿伞。
发现瑞星的进程有这么多，就是主界面不出来！


过了许久，主界面终于弹出，并且系统加固拦截到一个被注入的SVCHOST.EXE的动作。

瑞星看来要进行还击了！
不久，病毒开始破坏瑞星。瑞星的自我保护规则生效。


病毒通过C:\WINDOWS\system32\winlogon.exe修改注册表：HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
赋予新值：
C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe


猜猜，最后谁举了白旗？


答案是——————————瑞星。

所有保护被关闭，瑞星完全被击垮。



12文件名：可疑090626-A-248.exe
运行样本后，系统加固，木马行为防御未拦截。防火墙有提示。


13文件名：可疑090626-A-54.exe
运行样本后，系统加固，木马行为防御未拦截。
该病毒有以下行为：
注入C:\WINDOWS\system32\svchost.exe
然后，删除自身。

三云安全测试
第一次扫描：
时间 ：  15：52
结果：  5个可疑文件，已上报。

直到目前为止，这5个病毒依旧没有入库。继续跟踪入库时间。

今日测试到此为止。
如果有分析错误的地方，请多包涵，本人也只是反病毒爱好者，水平不是很高。

昨日测试报告：
http://bbs.ikaka.com/showtopic-8636518.aspx

感谢您的反馈，我们会尽快反馈到相关部门进行检测，欢迎继续测试2010版

顶顶！

上传的附件就是所有未拦截的样本么

看到好几处有
HKLM\SYSTEM\CurrentControlSet\Control\Session Manager
赋予新值：
\??\C:\WINDOWS\system32\helper.dllbak
之类的
应该是在pendingfilerenameoperations值下创建的那些\??\吧?
看那格式 应该只是重启删除的.....

很详细的测试啊

AD,FD瑞星的保护可以说没见什么大的问题，但是RD的保护就有很多问题某些写入方式瑞星不会拦截，导致重新启动后自身被干掉。所以说目前瑞星HIPS自保护还有短板的...但是相关的问题已经反馈了，相信不久就会得到解决吧！～

文章内提到过的样本都在里面了。